IT投資風險警示

導語：IT投資風險警示一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

以往的IT投資風險分析主要是基于風險清單和項目實施的，通常是基于個人經(jīng)驗和信息系統(tǒng)實施階段的基礎之上來分析IT投資風險因素。這與IT投資目標關聯(lián)性不夠，忽視投資者關注的重點。同時IT投資還涉及到組織戰(zhàn)略、管理流程和持續(xù)改進等多方面的問題，若脫離了環(huán)境和組織的實際，可能遺漏IT投資的重大風險因素。本文試圖建立一個多維的IT投資風險域，并在此基礎上進行IT投資風險預警的研究。

1IT投資風險域的三維框架

進行IT投資風險預警的基礎是分析IT投資風險域。本文提出在IT投資管理流程、企業(yè)架構框架以及COBIT框架的基礎上，建立一個包括目標、企業(yè)架構以及生命周期的三維框架用以分析IT投資風險域，如圖1所示。

1.1目標維

業(yè)務的目標或商業(yè)的需求需要企業(yè)IT相關的系統(tǒng)能夠提供其所需要的信息服務，因此企業(yè)需要進行IT投資。企業(yè)IT投資管理的目標是確保且持續(xù)的提升IT投資的效率和效果，為企業(yè)的運作提供高質(zhì)量、受信、安全的信息服務，提升業(yè)務流程的功能,使得企業(yè)的經(jīng)營從中獲益。

1.2生命周期

傳統(tǒng)上，一般將企業(yè)信息化的生命周期劃分為四個域：規(guī)劃、開發(fā)、運行及監(jiān)控。COBIT框架在此基礎上比較全面、準確地定義了企業(yè)信息化的生命周期和過程，分為四個域：規(guī)劃與組織、獲取與實現(xiàn)、交付與支持、監(jiān)督與評估。這個四個域帶有明顯的時間特征，同時也是一個循環(huán)的過程。

1.3企業(yè)架構維

企業(yè)架構維主要包括兩個元素：一是企業(yè)架構框架，包括應用層、信息層及IT基礎設施層；二是企業(yè)架構引導IT投資及企業(yè)信息化建設的過程。這三個維度存在相互作用的關系。企業(yè)架構描繪了用于實現(xiàn)企業(yè)業(yè)務目標的IT資源，分為應用、信息以及IT基礎設施三個層次；為了實現(xiàn)IT投資目標，企業(yè)架構引導信息化建設，并建立包含在規(guī)劃與組織、獲取與實現(xiàn)、交付與支持、監(jiān)督與評估的循環(huán)的生命周期中的投資管理流程。

2IT投資風險域的分析

在三維的IT投資風險域框架基礎上，我們進行IT投資風險事件及成因的分析。在規(guī)劃與組織階段，主要的IT投資風險域包括幾種。IT規(guī)劃與計劃。主要的風險是IT規(guī)劃和計劃可能不能滿足現(xiàn)在及將來業(yè)務的需求。在實務中，通常表現(xiàn)為IT規(guī)劃滯后。IT投資組合管理。主要的風險是IT投資組合未能按業(yè)務的重要性及優(yōu)先級別進行排序。定義架構模型。主要風險是業(yè)務所需要的信息的不一致、不可靠，業(yè)務和系統(tǒng)流程不吻合。定義技術方向。主要風險是IT基礎設施計劃，不能滿足應用系統(tǒng)的現(xiàn)在及將來的要求。IT價值管理。其風險是未能清晰、客觀的定義投資的可行性。IT和業(yè)務的一致性。主要的風險在于業(yè)務需求、架構模型以及IT投資的項目之間不一致。IT預算。主要的風險是預測的準確性，以及分配的合理性。IT組織。IT組織及崗位，不能夠及時響應業(yè)務的要求。IT風險評估。不能識別出重要風險，并設定恰當?shù)娘L險管理和控制措施。在獲取與實現(xiàn)階段，IT投資風險域主要包括幾種。設計解決方案。主要的風險是設計的解決方案與業(yè)務功能和控制的需求不匹配以及技術可行性風險。系統(tǒng)購買與配置。主要的風險在于系統(tǒng)的高層設計及詳細設計與需求不匹配，以及軟件包質(zhì)量的風險。變更管理。導致系統(tǒng)的穩(wěn)定性、完整性的風險。在交付與支持階段，IT投資風險域主要包括幾種。IT連續(xù)性。在信息服務中，中斷對業(yè)務帶來重大損失的風險。信息安全管理。信息和處理的完整性，未經(jīng)授權的訪問的風險。在監(jiān)督與評估階段，IT投資風險域主要包括幾種。IT績效評價。未能及時發(fā)現(xiàn)IT投資效果與目標之間的差距，為后續(xù)的IT投資活動埋下隱患。

3IT投風險預警模型的建立及案例分析

3.1基于貝葉斯網(wǎng)絡的IT投資風險預警模型

利用貝葉斯網(wǎng)絡進行風險預警的原理是貝葉斯網(wǎng)絡將貝葉斯規(guī)則和有向無環(huán)圖的網(wǎng)絡拓撲結構有機結合起來，可以從不完全、不精確或不確定的知識或信息中推理。如果網(wǎng)絡中任一節(jié)點的狀態(tài)確定時，網(wǎng)絡本身就可以利用貝葉斯規(guī)則在網(wǎng)絡中進行正向或逆向推理，從而得出網(wǎng)絡中任一節(jié)點的后驗概率，這是其可以建立IT投資風險預警系統(tǒng)的關鍵機理。將貝葉斯網(wǎng)絡因果模型引入IT投資風險預警的建模，則模型的三個組成部分分別具有不同的意義：結點代表風險因子和風險帶來的損失，即關鍵風險指標。通過聯(lián)結各個結點的有向邊來分析風險損失事件對IT投資效果的總體影響。

3.2案例分析

某公司根據(jù)以往的IT投資風險事件及成因，選擇了以下主要的風險域，并設定了關鍵風險指標。IT規(guī)劃與計劃。kri1：主要考察IT規(guī)劃、計劃以及IT投資建議之間匹配程度。定義架構模型。kri2:主要考察架構模型是否能全面的覆蓋業(yè)務運行所需的信息元素。IT和業(yè)務的一致性。kri3:主要考察架構是否對業(yè)務需求的變化的靈敏性。IT預算。kri4:主要考察投資資金的預測和分配。設計解決方案。kri5:主要考察系統(tǒng)設計的效果，以及可行性研究的準確性等。系統(tǒng)購買與配置。kri6:主要考察購買軟件包的質(zhì)量，其反映了高層及詳細設計的準確性。項目管理。kri7:主要考察項目管理的水平和成熟度。變更控制。kri8:主要考察變更控制程序是否對變更后的影響進行充分的評估。按照貝葉斯網(wǎng)絡模塊化的要求、企業(yè)架構各個層次之間關鍵風險指標的邏輯關系，繪制了貝葉斯網(wǎng)絡拓撲結構的例圖，如圖2所示。我們根據(jù)圖2所示的貝葉斯網(wǎng)絡結構圖，使用Hugin軟件進行貝葉斯網(wǎng)絡的運算。每一節(jié)點旁的方框顯示了該節(jié)點操作風險損失的先驗分布值。為便于研究，假設該企業(yè)在IT投資過程中，每個風險域相關的損失分布服從對數(shù)正態(tài)分布。初始各結點的均值-方差數(shù)據(jù)如下。

4結論

IT投資風險的識別和控制需要考慮到企業(yè)的環(huán)境、組織、管理及其技術等多方面的因素，尤其對于大型信息系統(tǒng)的IT投資，其風險域遠遠超出軟件、項目或項目組合的范疇。建立IT投資風險預警機制才能更好的防范IT投資風險，提高IT投資效果。同時，建立IT投資風險的預警機制，需要進行全過程、多層面的監(jiān)控，并收集和分析多年、多行業(yè)的IT投資損失數(shù)據(jù)，風險防范措施等，才能夠不斷健全IT投資風險預警機制。